政府电脑保安事故协调中心 - 保安警报 (A18-01-01): VMware vSphere Data Protection 多个漏洞

描述:

VMware 发布了一个安全更新，以应对于 VMware vSphere Data Protection (VDP) 5.x, 6.0.x, 6.1.x 版本中发现的多个漏洞。攻击者可在启动 VDP 系统上遥距攻击这个漏洞。

受影响的系统:

VMware vSphere Data Protection 5.x, 6.0.x, 6.1.x

影响:

成功利用这些漏洞可在受影响的系统上导致绕过认证、权限提升、未经授权造访路径(Path Traversal)或未经授权上载档案。

建议:

供应商已在其网站上发行了新版本以应对以上问题。用户可从以下网址下载：

vSphere Data Protection (VDP) 6.0.7
https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP60_7
vSphere Data Protection (VDP) 6.1.6
https://my.vmware.com/group/vmware/details?productId=491&downloadGroup=VDP616

系统管理员可联络其产品支援供应商，以取得修补程式及有关支援。

进一步信息:

https://www.vmware.com/security/advisories/VMSA-2018-0001.html
https://docs.vmware.com/en/VMware-vSphere/6.0/rn/data-protection-607-release-notes.html
https://docs.vmware.com/en/VMware-vSphere/6.5/rn/data-protection-616-release-notes.html
https://www.us-cert.gov/ncas/current-activity/2018/01/02/VMware-Releases-Security-Updates
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15548
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15549
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15550

标签 : VMware , vSphere , VDP